如何在FortiGate的NP2网络接口上面使用sniffer或debug flow功能
文档用途
本文描述的是如何如何在FortiGate的NP2网络接口上面使用sniffer或debug flow功能。
适应范围
所有的具有NP2网络处理器的FortiGate设备。
功能描述
新型号的FortiGate使用了NP2网络处理器,例如FG-310B,FG-620B等等,有一些网络流量将不再转发给设备主CPU处理而是直接由NP2网络处理器处理,这将导致debug flow和sniffer命令无法抓到从NP2接口上收发的报文。
然而,并不是所有的报文都无法抓到的,所有的连接建立过程的报文及不支持快速转发的报文还是可以通过debug flow和sniffer命令抓到的,如TCP三次握手的包,包括syn/syn-ack/ack。当TCP连接建立起来之后,所有的后续包就会被NP2处理器通过快速转发功能直接转发了。
具体配置
出于故障调试目的,我们有的时候需要详细查看防火墙具体报文转发过程,这个时候我们可以手工的启用或者禁用NP2网络处理器硬件加速功能
请注意,此功能仅用户防火墙故障排错,它将极大影响防火墙性能,在不需要时请禁用此功能。
4.1 启用此功能,命令如下:
diagnose npu np2 fastpath-sniffer enable <port(s)_number>
这样一来,所有的进出此NP2接口的包都可以被命令sniffer 或者 debug flow 命令来查看了。
4.2 禁用此功能,命令如下:
diagnose npu np2 fastpath-sniffer disable <port(s)_number>
注意事项
这个命令启用/禁用将不会被保存在配置文件里面,重启FortiGate时设备将恢复到默认出厂配置状态。